증명 토큰을 검증하려면 Confidential Space에서 Cloud Storage 버킷의 인증서를 다운로드해야 합니다. 이러한 버킷이 경계 외부에 있으면 다음 이그레스 규칙을 구성해야 합니다.
- egressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.objects.get
resources:
- projects/870449385679
- projects/180376494128
egressFrom:
identityType: ANY_IDENTITY
다음 표에는 필요한 인증서가 포함된 프로젝트가 나와 있습니다.
| 프로젝트 ID | 프로젝트 번호 | 설명 |
|---|---|---|
| cloud-shielded-ca-prod | 870449385679 | 증명서가 포함된 프로젝트 |
| cloud-shielded-ca-prod-root | 180376494128 | 루트 인증서가 포함된 프로젝트 |
Compute Engine API가 서비스 경계로 제한된 경우 다음 이그레스 규칙을 만들어야 합니다.
- egressTo:
operations:
- serviceName: compute.googleapis.com
methodSelectors:
- method: InstancesService.Insert
resources:
- projects/30229352718
egressFrom:
identityType: ANY_IDENTITY
다음 표에는 Confidential Space VM 이미지를 가져오는 데 필요한 프로젝트가 나와 있습니다.
| 프로젝트 ID | 프로젝트 번호 | 설명 |
|---|---|---|
| confidential-space-images | 30229352718 | Confidential Space VM 이미지가 포함된 프로젝트 |